Användningen av artificiell intelligens, AI, kommer nu regleras genom en förordning som antogs i våras. Förordningen kommer att träda i kraft fullt ut i augusti 2026. Det kan vara en god idé att redan nu börja inventera och ha förordningen för ögonen när ni jobbar med AI.
I mars 2024 antog EU-parlamentet AI-förordningen och ministerrådet antog den i maj samma år. AI-förordningen är en del i EU:s digitala strategi och ska säkerställa bättre villkor för utveckling och användning av AI. Men AI medför även risker och EU vill med förordningen säkerställa att de AI-system som används i EU är transparenta, håller en hög säkerhet, att de går att spåra, är icke-diskriminerande och miljövänliga. EU vill även att AI-system ska övervakas av människor och inte via automatisering.
Vilka omfattas av AI-förordningen?
Förordningen gäller både offentliga och privata aktörer. Skyldigheterna kan påverka både leverantörer och användare. Forskning, utveckling och prototyputveckling innan den når marknaden är undantagen, liksom AI-system för militära ändamål, försvarsändamål och ändamål som rör nationell säkerhet.
När börjar förordningen gälla?
AI-förordningen kommer att tillämpas den 2 augusti 2026, men vissa delar kommer att börja gälla tidigare:
- förbudet mot AI-system som utgör oacceptabla risker
- uppförandekoder
- regler för AI-system som måste uppfylla kraven på insyn
Vilka böter kan utdelas?
Det är upp till medlemsstaterna att fastställa sanktionerna, men i förordningen anges följande tröskelvärden:
- Upp till 35 miljoner euro eller 7 procent av den totala globala årsomsättningen det föregående räkenskapsåret (beroende på vilket som är högst) för överträdelser som omfattar förbjudna metoder eller bristande uppfyllande av datakrav
- Upp till 15 miljoner euro eller 3 procent av den totala globala årsomsättningen det föregående räkenskapsåret för bristande uppfyllande av andra krav eller skyldigheter enligt förordningen
- Upp till 7,5 miljoner euro eller 1,5 procent av den totala globala årsomsättningen under det föregående räkenskapsåret för tillhandahållande av oriktig, ofullständig eller vilseledande information till anmälda organ och nationella behöriga myndigheter som svar på en begäran
- För för små och medelstora företag gäller det lägre tröskelvärdet och det högre för andra företag
Vilken myndighet ska se till att förordningen efterlevs?
Vi vet ännu inte vilken svensk myndighet som kommer att få det övergripande ansvaret för AI-förordningen. Men eftersom AI-förordningen kommer att gälla parallellt med GDPR har IMY tagit fram en vägledning. Generellt gäller att GDPR är tillämplig om personuppgifter behandlas i samband med att AI utvecklas eller används.
Olika risknivåer
För att bestämma nivån på regleringen ska alla AI-system analyseras och klassificeras utifrån den risk de utgör för användare. Vissa AI-system anses utgöra ett oacceptabelt hot mot mänskligheten och kommer att förbjudas, det handlar om: kognitiv beteendemanipulation, social poängsättning och biometrisk identifiering. Vissa undantag kan dock tillåtas i brottsbekämpningssyfte.
Vad gäller för generativ AI, till exempel ChatGPT?
Generativ AI, som ChatGPT, anses inte utgöra en hög risk, men systemen ska följa upphovsrättslagen och vara transparenta. GPT-4 ska också genomgå omfattande undersökningar och misstänkta resultat ska rapporteras till EU-kommissionen. Innehåll som skapats med AI ska tydligt märkas, vare sig det handlar om bilder, ljud eller rörligt innehåll.
Hur blir ni redo?
Som vanligt handlar det först och främst om att veta vad ni gör, och varför ni gör det. En inventering och dokumentation är första stegen. Förordningen gäller parallellt med lagar som GDPR och upphovsrättslagen, varför arbetet med att säkerställa att ni följer dessa regler går hand i hand. Behöver ni hjälp med att komma vidare, är ni varmt välkomna att kontakta Credicon.